Login
Newsletter
Werbung

Di, 23. Juni 2015, 11:00

Gemeinschaft::Organisationen

Core Infrastructure Initiative fördert drei Sicherheitsinitiativen

Die von der Linux Foundation finanzierte »Core Infrastructure Initiative« hat jetzt drei weitere Projekte bekannt gegeben, die gefördert werden sollen. Es handelt sich um drei Initiativen, die die generelle Sicherheit freier Software verbessern, nämlich Debians reproduzierbare Builds, das Fuzzing-Projekt und ein neues Testprojekt.

Linux Foundation

Der kritische Heartbleed-Fehler in OpenSSL vom April 2014 hat die Anwender weltweit wachgerüttelt. Nicht nur Endanwender, sondern ganze Industriezweige hängen entscheidend von der Sicherheit dieser Bibliothek ab, das wurde als Konsequenz des zwei Jahre lang nicht erkannten Fehlers klar, und Reaktionen ließen nicht lange auf sich warten. Zahlreiche Personen und Organisationen haben sich den Quellcode von OpenSSL angesehen, Unterstützung zugesichert oder Alternativen betrachtet.

Die Linux Foundation, ein Industriekonsortium zur Förderung des Einsatzes von Linux und freier Software und zur Zusammenarbeit an offenen Projekten, zog ebenfalls Konsequenzen und gründete die Core Infrastructure Initiative, die mit einem Fonds aus Spendengeldern in Millionenhöhe ausgestattet ist. Sie wird von Firmen wie Adobe, Amazon, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, HP, Huawei, IBM, Intel, Microsoft, NetApp, Rackspace, salesforce.com und VMware finanziert. Sie soll Projekte unterstützen, die für das ganze Internet oder ganze Industriezweige kritisch sind und dringend Geld benötigen. Unter diesen Projekten befinden sich GnuPG, NTPd, OpenSSL und OpenSSH.

Jetzt hat die Core Infrastructure Initiative drei weitere Projekte in ihr Programm aufgenommen. Das erste ist eine Initiative der Debian-Entwickler Holger Levsen und Jeremy Bobbio, reproduzierbare Builds zu ermöglichen. Um dies zu erreichen, müssen sie aus Quellcode und Makefiles der Softwarepakete alles entfernen, was eine exakte Reproduzierbarkeit der Binärpakete verhindert, beginnend mit so trivialen Dingen wie Zeitstempeln. Ihre Arbeit resultiert in Werkzeugen, die auch anderen Distributionen zur Verfügung stehen, und wird mit 200.000 US-Dollar unterstützt.

Das zweite Projekt ist das Fuzzing-Projekt des Sicherheitsforschers Hanno Boeck, der 60.000 US-Dollar erhält. Fuzzing oder Fuzz Testing wird immer populärer unter Entwicklern. Fuzzer konfrontieren Programme mit Eingaben, auf die sie möglicherweise nicht vorbereitet sind, worauf sie fehlerhaft oder mit einem Absturz reagieren. Boecks Projekt will eine Reihe von grundlegenden freien Programmen untersuchen sowie Hintergrundinformationen und Anleitungen liefern.

Das dritte Projekt widmet sich Tests, die keine Fehlalarme produzieren sollen. Pascal Cuoq, Mitgründer von TrustInSoft, erhält 192.000 US-Dollar zur Entwicklung des TIS-Interpreters, eines freien Äquivalents zum proprietären TIS-Analyzer von TrustInSoft. Die Software läuft unter der freien Plattform Frama-C und analysiert Programme auf Fehler. Gemeldete Fehler, die tatsächlich keine sind, kosten die Programmierer jedoch viel Zeit und führen dazu, dass die Analyseprogramme selten eingesetzt werden. Das könnte sich bessern, wenn keine Fehlalarme mehr produziert werden.

Zusätzlich kommt die Linux-, System- und Cloud-Sicherheitsexpertin Emily Ratliff zur Linux Foundation und übernimmt die Leitung für die Infrastruktursicherheit für die CII. Sie arbeitete über 15 Jahre bei IBM und danach als Sicherheitsentwicklerin bei AMD.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung